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(54) PROCEDE DE TRANSFERT SECURISE DE DONNEES PAR UN RESEAU DE COMMUNICATION. 



(57) L'invention concerne !es transferts de donnees reali- 
ses par un reseau de communications. Elle concerne no- 
tamment un procede de transfert securise de donnees par 
un reseau de communications, entre une premiere entite 
constitute par une carte a puce et une deuxieme entite ; se- 
lon lequel on elabore au prealable une signature electroni- 
que : permettant de prouver 1'initialisation du transfert, cette 
signature etant stockee dans au moins une zone memoire 
de la carte a puce puis, lorsque le transfert de donnees est 
termine. on efface cette signature. 
Application au porte-monnaie electronique. 
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PROC&Df! DE TRANS FERT S&CURIS& DE DONNE ES 
PAR UN ROSEAU DE COMMUNICATION 

L' invention concerne les transferts de donnees 
realises par un reseau de communications. Ce reseau 
peut par exemple etre le reseau telephonique commute, 
le reseau de communication cellulaire tel que le reseau 
5 au standard Europeen G.S.M ou encore le reseau 
INTERNET. 

Dans le cas des echanges classiques de donnees 
entre deux entites, 1 ' authenticity de ces donnees 
echangees est garantie par une signature electronique. 

10 Cette signature electronique peut etre obtenue a I'aide 
de mecanismes de cryptographie divers tels que des 
mecanismes de chiffrement, ou d' authentif ication, ou de 
signature au sens propre. L' algorithme de calcul 
correspondant peut etre symetrique, auquel cas la cle 

15 secrete de signature est partagee par les deux entites, 
ou asymetrique, auquel cas la cle secrete de signature 
n'est connue que de l'entite signataire. De tels 
procedes de transfert de donnees, permettant 
1' authentif ication des donnees echangees, sont 

20 notamment decrits dans la demande de brevet EP - A - 0 
683 582 et dans la demande de brevet US 5,534,683, 

Aujourd'hui, nous assistons a un fort developpement 
des applications grand public sur des reseaux de 
communications susceptibles de permettre 1 'utilisation 

2 5 de cartes a puce. Cependant , 1' operation de transfert 

de donnees par un reseau est delicate a mettre en 
oeuvre puisqu'elle peut comporter des echanges entre 
plusieurs entites et une carte a puce. Les echanges de 
donnees par 1 9 intermediaire d'un reseau peuvent en 

3 0 outre etre interrompus pour de multiples raisons telles 

que, par exemple, la rupture d'une communication, 
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1' arrachement de la carte a puce ou une panne de 
l'entite echangeant des donnees avec la carte a puce. 
Cette interruption entraine une desynchronisation des 
deux entit^s au detriment de l'une d'entre el les. Les 
5 mecanismes connus a ce jour ne permettent pas d'eviter 
ce probleme de desynchronisation en cas d' interruption 
au cours d'un transfert de donnees. 

La presente invention permet de resoudre ce 
probleme de desynchronisation de deux entites 

10 susceptibles d'apparaitre lors d'une interruption et 
propose un procede de transfert securise de donnees par 
un reseau de communications, entre une premiere entity 
constitute par une carte a puce et une deuxieme entite, 
apte a garantir 1' usage de la carte a puce dans toutes 

15 les circonstances meme dans le cas d' interruptions au 
cours de transactions, Ce procede consiste a elaborer 
au prealable une signature electronique , permettant de 
prouver 1 ' initialisation du transfert, et a la stocker 
dans au moins une zone memoire de la carte a puce puis, 

20 lorsque le transfert est termine, a ef facer cette 
signature . 

Selon une autre caracteristique de 1' invention, le 
procede comporte une procedure de reclamation, cette 
procedure consistant a verifier la presence ou 

2 5 1' absence de la signature dans une zone memoire de la 

carte a puce, afin de savoir si le transfert de donnees 
a echouS ou abouti. 

Selon une autre caracteristique de 1' invention, 
lorsque le transfert de donnees a ete interrompu, la 

3 0 procedure de reclamation consiste en outre a: 

- elaborer une nouvelle signature electronique, 

- remplacer la signature du transfert echoue par 
ladite nouvelle signature, 
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- effectuer les Stapes du transfert non encore 
executees, puis 

effacer la nouvelle signature lorsque le 
transfert est termine. 
5 Selon une autre caracteristique de 1' invention, la 

signature est stock§e de maniere securisee dans une 
zone memoire afin qu'elle ne soit accessible par 
1'exterieur ni en lecture ni en Scriture. 

De maniere avantageuse, cette zone memoire est une 
10 zone de memoire electriquement programmable de type 
EEPROM. 

Selon une autre caracteristique de 1' invention la 
signature est elaboree par la deuxieme entite et 
effacee par 1 ' electronique la carte a puce. 

15 Selon une autre caracteristique de 1' invention, la 

signature peut etre elaboree au moyen d'un algorithme 
de cryptographie. 

Selon une autre caracteristique de 1' invention les 
donnees transferees sont des unites de valeur. Dans ce 

20 cas la carte a puce peut etre un porte-monnaie 
electronique . 

Selon une autre caracteristique de 1' invention, le 
procede de transfert de donnees peut etre applique a 
une transaction financiere entre un organisme bancaire 
25 et un porte-monnaie electronique pour crediter le 
contenu du porte-monnaie, ou entre un fournisseur de 
services et un porte-monnaie electronique pour debiter 
le contenu du porte-monnaie. 

Selon une autre caracteristique de 1' invention, le 
30 procede de transfert de donnees peut etre applique a 
une transaction d'unites de valeurs entre un organisme 
de jeux et une carte a puce. 

La presente invention permet d'eviter des 
desequilibres eventuels, susceptibles de se creer entre 
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deux entites, causes par des interruptions au cours de 
transferts de donnees. En effet, la presence de la 
signature electronique dans une zone memoire de la 
carte £ puce, apres une operation de transfert, indique 
5 1' existence d'un desequilibre et constitue la preuve 
que 1' operation a echoue. Le retablissement de 
l'equilibre dans les echanges est realist a 
1' initiative de l'utilisateur de la carte a puce. 
D' autre part une signature electronique correspondant a 
10 un transfert n'est utilisable qu'une seule fois. 

D'autres particularites et avantages de 1' invention 
apparaitront a la lecture de la description faite a 
titre d'exemple non limitatif en reference aux figures 
15 annexees qui representent : 

la figure 1, un schema de principe d'un 
dispositif de mise en oeuvre d'un procede selon 
1 ' invention, 

- la figure 2, un organigramme d'un procede de 
2 0 transfert de donnees selon 1' invention, 

- la figure 3, un organigramme d'une procedure de 
reclamation permettant d'executer les etapes du procede 
de transfert qui ont ete interrompues , 

- la figure 4A, un organigramme d'un procede de 
25 transfert applique a une transaction financiere, entre 

un organisme bancaire et un porte-monnaie electronique, 

- la figure 4B, un organigramme d'une procedure de 
reclamation permettant 1' execution d' etapes ayant ete 
interrompues au cours de la transaction de la figure 

30 4A, 

- la figure 5A, un organigramme d'un procede de 
transfert applique a une transaction financiere entre 
un porte-monnaie electronique et un fournisseur de 
services , 
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- la figure 5B, un organigranune d'une procedure de 
reclamation permettant 1' execution d'etapes ayant ete 
interrompues au cours de la transaction de la figure 
5A. 

5 

Le procede de transfert de donnees selon 
1' invention est realist entre deux entites dont 1'une 
est de preference une carte a puce. 

La carte a puce utilisee comprend de fa<?on connue 
10 un microprocesseur relie par un bus aux differentes 
memoires et aux ports d' entree/sortie de la carte. 
Parmi les memoires, il y a en general: 

- une memoire volatile de travail RAM, comme il y 
en a dans tous les systemes a microprocesseurs, pour 

15 stocker les donnees intermediates necessaires au cours 
d'une utilisation de la carte, 

- une memoire morte ROM, contenant des programmes 
de systeme permettant le f onctionnement de la carte, 
programmes qui ne varient pas d'une utilisation a une 

20 autre de la carte; 

- une memoire effagable et programmable 
electriquement EEPROM, pour 1 ' enregistrement de donnees 
destinees a etre modifiees et mises a jour au cours des 
utilisations successives de la carte. 

25 La figure 1 illustre un schema de principe d'un 

dispositif de mise en oeuvre d'un procede de transfert 
de donnees selon 1' invention. Une carte a puce C est 
introduite dans la fente d'un organe lecteur 
enregistreur denomme dans la suite lecteur L qui peut 

30 par exemple etre un ordinateur. Le lecteur L est relie, 
par 1' intermediaire d'un reseau R, a plusieurs entites 
El, E2 , ...EN susceptibles d'echanger des donnees avec 
la carte a puce C. 
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L'organigramme de la figure 2 il lustre les 
differentes stapes d'un procedS de transfert de donnees 
selon 1' invention, entre une premiere entite telle 
qu'une carte a puce et une deuxieme entite E, par 
5 1 / intermedia ire d'un reseau. Dans une premiere etape 1, 
1' entite E elabore une signature electronique pour 
indiquer 1 ' initialisation du transfert. L' entity 
commande alors l'ecriture de cette signature dans au 
moins une zone memoire de la carte a puce, c'est 

10 1' etape 2. Cette signature electronique est enregistree 
securitairement dans cette zone memoire, c'est-a-dire 
qu'elle est stockee de maniere a ce qu'elle ne soit 
accessible ni en lecture ni en ecriture par 
l'exterieur. De preference, la zone memoire dans 

15 laquelle elle est stockee est une zone de memoire 
electriquement programmable de type EEPROM. 

L' entite E peut en outre posseder des algorithmes 
de cryptographie de maniere a assurer la 
confidentiality de la signature, 

2 0 Les etapes suivantes 3, 4 et 5 consistent a 

effectuer le transfert de donnees. Pour cela, 1' entite 
commande l'ecriture, dans une autre zone de la memoire 
EEPROM de la carte a puce, des donnees caractSristiques 
du transfert (etape 3) . La carte a puce renvoie alors 

25 une information d'acquittement selon laquelle elle 
autorise le transfert (etape 4) , puis le transfert est 
execute (etape 5) • Lorsque le transfert de donnees est 
termine, le microprocesseur de la carte a puce commande 
l'effacement de la signature stockee en memoire (etape 

30 6) . 

Si une interruption du transfert, due a une rupture 
de communication, un arrachement intempestif de la 
carte a puce ou une panne de 1' entite E par exemple, se 
produit entre les etapes 4 et 5 un desequilibre risque 
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de se creer au detriment de 1'une des deux entites. 
GrSce au procede selon 1' invention, un tel desequilibre 
peut etre mis en Evidence par la presence de la 
signature qui n'aura pas ete effacee de la memoire de 
5 la carte a puce* La presence de cette signature indique 
done une situation d'erreur possible. Le retablissement 
de 1'equilibre est alors effectue a 1' initiative de 
1 'utilisateur de la carte en realisant une nouvelle 
connexion entre les deux entites par 1 ' intermSdiaire du 
10 reseau. 

La carte a puce commande alors le deroulement d'une 
procedure de reclamation dont 1 ' organigramme est 
represents sur la figure 3. 

Dans un premier temps, a l'Stape 4a, l'entite E 
15 verifie la presence ou 1' absence de la signature dans 
la zone memoire de la carte a puce qui lui est 
reservee, de maniere a verifier si le transfert de 
donnees a echoue ou abouti. 

Dans le cas oQ la signature est presente, e'est a 
20 dire lorsque le transfert a echoue, l'entite E elabore 
alors une nouvelle signature electronique et commande 
le remplacement de la premiere signature correspondant 
au transfert echoue par cette nouvelle signature, e'est 
l'etape 4b. 

2 5 Le procede mis en oeuvre, pour mettre a jour cette 

signature de maniere securisee, pourra etre par exemple 
celui qui est decrit dans la demande de brevet FR 95 
01791. 

L'etape suivante 4c consiste a executer les etapes 

3 0 du transfert de donnees qui ont ete interrompues . 

Enfin, lorsque le transfert de donnees a ete 
entierement et correctement execute, la nouvelle 
signature est effacee (etape 4e) . 
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Les donnees transferees peuvent notamment etre des 
unites de valeurs. 

De maniere avantageuse, la carte a puce peut etre 
realisee sous forme de porte-monnaie electronique. 

5 

Une application particuliere du procede selon 
1' invention concerne une transaction financiere entre 
un porte-monnaie electronique (carte C) et un organisme 
bancaire (entite El) ou entre un porte-monnaie 
10 electronique et un organisme de fourniture de service 
(entite E2) . 

Dans ce cas, une unite de valeur correspond, de 
maniere avantageuse, a une unite monetaire. 

Une transaction entre un porte-monnaie et un 
15 organisme bancaire consiste plus particulidrement a 
crediter le contenu du porte-monnaie, tandis qu'une 
transaction entre ce porte-monnaie et un organisme de 
fourniture de service consiste a le debiter. 

La gestion du stockage et de l'effacement de la 
20 signature dans la memoire EEPROM du porte-monnaie 
electronique depend du type d' operation effectuee. Elle 
est en effet differente selon que 1' operation consiste 
a crediter ou a debiter le contenu du porte-monnaie 
electronique. Cette gestion est expliquee plus en 
25 detail dans ce qui suit. 

L' organigramme de la figure 4A illustre le 
chargement d'un porte-monnaie electronique au cours 
d'une transaction financiere avec un organisme 
bancaire. 

3 0 Dans I'exemple represents sur cette figure, 

prealablement a 1 ' initialisation de la transaction, le 
contenu du porte-monnaie comporte 5 unites de valeur 
UV, et le compte bancaire de l'utilisateur du porte- 
monnaie comporte 500 UV. 
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Lorsqu'un utilisateur demande le chargement de son 
porte-monnaie d'une valeur de 100 unites de valeurs UV 
par exemple (etape 10), la banque, apres avoir vSrifie 
le solde du compte utilisateur, construit une preuve de 
5 la transaction, c'est-a-dire qu'elle calcule une 
signature electronique , et la transmet au porte-monnaie 
(etape 20) . 

Le porte-monnaie stocke la signature Electronique 
et les donnees caracteristiques de la transaction dans 
10 une zone de memoire EEPROM et renvoie a la banque une 
information d' acquittement autorisant 1' execution de la 
transaction (Etape 30) . 

La banque debite alors le compte utilisateur et 
ordonne le chargement correspondant du porte-monnaie 
15 (etape 40) . Le credit est effectue et, simultanement , 
le porte-monnaie efface la signature en mettant en 
oeuvre le procede de mise a jour securisee de mEmoire 
EEPROM decrit dans la demande de brevet FR 95 01791. 

Lorsque 1' operation de transaction est terminee, le 

2 0 contenu du porte-monnaie electronique doit par 

consequent etre egal a 105 UV, tandis que le contenu du 
compte bancaire de 1 'utilisateur du porte-monnaie est 
egal a 400 UV. 

Une interruption entre les etapes 3 0 et 4 0 peut 
25 entrainer un desequilibre entre le porte-monnaie et la 
banque au detriment de 1 ' utilisateur . En effet, il se 
peut que le compte bancaire de 1 ' utilisateur ait ete 
debite alors que son porte-monnaie n'a pas ete credite. 

Cependant, lorsqu'une telle interruption se 

3 0 produit, le chargement du porte-monnaie n'ayant pas 

abouti, la signature n'est pas effacee de la memoire 
EEPROM du porte-monnaie. La presence de cette signature 
permet done de prouver que la transaction a echoue. 
L'utilisateur doit alors reconnecter son porte-monnaie 
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a 1'organisme bancaire, par 1 ' intermediaire du reseau, 
pour retablir l'equilibre. 

Lors de la reconnexion, le microprocesseur du 
porte-monnaie electronique lance le deroulement d'une 
5 procedure de reclamation, dont 1' organigramitie est 
illustre sur la figure 4B. 

Dans l'exemple de la figure 4B, le compte bancaire 
de 1'utilisateur a ete debite de 100 UV et est egal h 
4 00 UV, alors que le contenu du porte monnaie n'a pas 

10 ete credits et est reste egal a 5 UV. 

Lors de la reclamation, le porte-monnaie presente 
done a la banque les donnees caracteristiques de la 
transaction et la preuve que cette transaction a ete 
interrompue, e'est-a-dire la signature electronique 

15 (etape 31) . La banque verifie cette signature 
electronique et valide la procedure de reclamation. 
Puis elle construit une nouvelle preuve de la 
transaction et la transmet au porte-monnaie (etape 32) . 

Le porte-monnaie stocke alors la nouvelle signature 

2 0 electronique, en remplacement de celle correspondant a 
1' operation de credit echouee, et les donnees 
caracteristiques de la nouvelle transaction, puis 
envoie a la banque une information d' acquittement 
autorisant la transaction (etape 33) . Le remplacement 

2 5 de la premiere signature electronique correspondant a 
la transaction interrompue par la nouvelle signature 
electronique est realise au moyen du procede de mise a 
jour securisee de memoire EEPROM decrit dans la demande 
de brevet FR 95 01791. 

30 Si le compte bancaire de 1 ' utilisateur n'a pas ete 

debite lors de la premiere transaction, la banque 
effectue le debit puis, dans tous les cas, elle ordonne 
le chargement du porte-monnaie, e'est 1' etape 34. 
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Dans l'exemple de la figure 4B, le compte bancaire 
a ete d§bit6 avant 1' interruption de la premiere 
transaction, Dans ce cas, la banque ordonne le 
chargement du contenu du porte-monnaie juste apres 
5 avoir regu 1' information d'acquittement autorisant la 
transaction • 

Le porte-monnaie efface la nouvelle signature de la 
transaction simultanement a 1' operation de credit 
(etape 35) • 

10 De la meme maniere, une transaction financiere peut 

avoir lieu entre un porte-monnaie electronique et un 
fournisseur de services. Dans ce cas, le fournisseur de 
services, en echange d'un service a rendre, commande le 
debit d'une certaine valeur du contenu du porte- 

15 monnaie. Cette transaction entre porte-monnaie et 
fournisseur de services est representee sur la figure 
5A. 

Lorsqu'un utilisateur demande un service (etape 
100) , le fournisseur de services elabore une preuve de 

2 0 la commande, c'est-a-dire une signature electronique 
correspondant a la transaction a effectuer. 

Le porte-monnaie est ensuite debite de la valeur 
correspondant au service, 5 UV dans l'exemple de la 
figure 5A, et la signature et les donnees 

2 5 caracteristiques de la transaction sont simultanement 
enregistrees dans la memoire EEPROM du porte-monnaie, 
c'est l'etape 200. 

Le porte-monnaie emet alors des certificats de 
d£bit et les transmet au fournisseur (etape 300) . Le 

30 fournisseur verifie ces certificats, les enregistre et 
acquitte le paiement (etape 400) . Le paiement ayant 
ete acquitte, la signature electronique correspondant a 
la commande est effacee de la memoire EEPROM du porte- 
monnaie electronique (etape 500) . 
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S'il y a une coupure entre les etapes 300 et 400, 
la presence de la signature dans la memoire EEPROM du 
porte-monnaie temoigne d'une situation d'erreur 
possible. Cette situation d'erreur peut par exemple 
5 correspondre au fait que le paiement n'a pas ete 
encaisse par le fournisseur alors que le contenu du 
porte-monnaie a ete debite. Or, tant que le fournisseur 
n'est pas paye, il ne fournit pas le service requis 
correspondant. Pour obtenir le service qu'il a paye, 

10 l'utilisateur doit en consequence presenter la preuve 
de la commande, c'est-a-dire la signature electronique 
correspondant a la transaction demandee, et 
eventuellement renvoyer les certificats de paiement 
s'ils n'ont pas ete repus par le fournisseur. 

15 L'organigramme de la figure 5B decrit le 

deroulement de la procedure de reclamation permettant 
d'achever le paiement d'un fournisseur de services. 

Dans 1' exemple de cette figure 5B, le contenu du 
porte-monnaie a ete debite de 5UV, lors de la premiere 

20 transaction correspondant a la figure 5A, alors que le 
paiement n'a pas ete encaisse par le fournisseur, le 
contenu de la caisse etant reste egal a 500 UV. Le 
porte-monnaie transmet dans un premier temps au 
fournisseur les elements de la reclamation, c'est-a- 

25 dire les donnees caracteristiques de la transaction 
echouee et la signature. 

Dans le cas oil le(s) certif icat (s) a(ont) ete 
re<?u(s) par le fournisseur, ce dernier acquitte le 
paiement et la preuve de la transaction est effacee 

30 (etapes 340-350) . 

En revanche, dans le cas oQ le(s) certif icat (s) 
n'a(ont) pas ete regu(s) par le fournisseur, celui-ci 
verifie la validite de la reclamation, c'est-a-dire la 
presence de la signature electronique. II elabore par 
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ailleurs une nouvelle signature electronique qu'il 
transmet au porte-monnaie accompagnee d'une demande de 
paiement, c'est-a~dire d'une demande du (des) 
certif icat (s) (etape 320). 
5 Le porte-monnaie enregistre les donnees 

caracteristiques de la transaction dans la memoire 
EEPROM ainsi que la nouvelle signature electronique en 
remplacement de la precedente, et il recalcule les 
certif icats du debit echoue (etape 3 3 0) • 
10 Les certif icats re<?us, enregistres et verifies, le 

fournisseur acquitte le paiement (etape 340) . Enfin, le 
porte-monnaie efface la preuve de la transaction (etape 
350) . 

La procedure de reclamation terminee, le contenu du 
15 porte-monnaie est debite, le fournisseur a encaisse le 
paiement et peut done rendre le service correspondant 
requis par l'utilisateur du porte-monnaie electronique. 

Les exemples qui viennent d'etre deer its permettent 
de comprendre en quoi la gestion du stockage et de 
20 l'effacement de la signature est different selon le 
type d' operation effectuee. 

Ainsi, dans le cas d'un credit, l'effacement de la 
signature et le credit du contenu du porte-monnaie se 
font simultanement . 
2 5 En revanche, dans le cas d'un debit, e'est 

l'enregistrement de la signature et le debit du contenu 
du porte-monnaie qui se font simultanement. 

Selon une autre variante de realisation, le procede 
de transfert de donnees selon 1' invention peut 
30 egalement etre applique & une transaction d'unitSs de 
valeurs entre un organisme de jeux et une carte a puce 
par 1 ' intermediaire d'un reseau. 

Dans ce cas les donnees transferees sont des unites 
de valeurs correspondant chacune a une somme d' argent 
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definie au prealable. Le rechargement du contenu de la 
carte a puce est realist au moyen d'une banque interne 
a l'organisme de jeux. Par ailleurs, le contenu de la 
carte a puce est credite ou debite selon que 
5 l'utilisateur a gagne ou perdu un jeu. Les transactions 
effectuees sont done semblables aux transactions 
financieres qui viennent d'etre decrites. 

Une signature electronique, destinee a prouver 
qu'une transaction a 6choue, n'est utilisable qu'une 
10 seule fois: la signature d'une transaction echouee est 
remplacee par une nouvelle signature electronique de 
transaction de reclamation et, dans tous les cas, la 
signature est effacee lorsque la transaction a abouti* 
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RE VEND I CAT I ONS 

1. Procede de transfert securise de donnees par un 
reseau de communications, entre une premiere entite 
constituee par une carte a puce et une deuxieme entite, 

5 caracterise en ce qu'il consiste a elaborer au 
prealable une signature electronique, permettant de 
prouver 1 ' initialisation du transfert, et a la stocker 
dans au moins une zone memoire de la carte a puce puis, 
lorsque le transfert de donnees est termine, S effacer 
10 cette signature. 

2. Procede selon la revendication 1, caracterise en 
ce qu'il comporte une procedure de reclamation, cette 
procedure consistant a verifier la presence ou 

15 1' absence de la signature electronique dans une zone 
memoire de la carte a puce, afin de savoir si le 
transfert de donnees a echoue ou abouti. 

3. Procede selon la revendication 2, caracterise en 
2 0 ce que, lorsque le transfert de donnees a ete 

interrompu, la procedure de reclamation consiste en 
outre a : 

- elaborer une nouvelle signature electronique, 

- remplacer la signature du transfert echoue par 
25 ladite nouvelle signature, 

- effectuer les etapes du transfert non encore 
executees, puis 

- effacer la nouvelle signature lorsque le 
transfert est termine. 

30 

4. Procede selon l'une des revendications 1 a 3, 
caracterise en ce que la signature est stockee de 
maniere securisee dans une zone memoire afin qu'elle ne 
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soit accessible par l'exterieur ni en lecture ni en 
ecriture. 

5. Procede selon l'une des revendications 1 a 4, 
5 caracterise en ce que la zone memo ire de la carte a 
puce dans laquelle est stockee la signature est une 
zone de memoire electriquement programmable de type 
EEPROM. 

10 6. Procede selon l'une des revendications 1 & 5, 

caracterise en ce que la signature electronique est 
elaboree par la deuxieme entity et effacee par 
1' electronique de la carte a puce. 

15 7. Procede selon l'une des revendications 1 a 6, 

caracterise en ce que la signature Electronique est 
elaboree au moyen d'un algorithme de cryptographie . 

8. Procede selon l'une des revendications la 7, 
20 caracterise en ce que les donnees transferees sont des 
unites de valeurs. 

9 Procede selon l'une des revendications 1 a 8, 
caracterise en ce que la carte a puce est un porte- 
25 monnaie electronique, 

10. Application du procede selon l'une des 
revendications 1 a 9 a une transaction f inanciere entre 
un organisme bancaire et un porte-monnaie electronique 
30 pour crediter le contenu de ce dernier, ou entre un 
fournisseur de services et un porte-monnaie 
electronique pour debiter le contenu de ce dernier. 
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11. Application selon la revendication 10, 
caracteris6 en ce que dans le cas oH le contenu du 
porte-monnaie est erudite, 1' operation de credit et 
l'effacement de la signature se font simultanement. 

12. Application selon la revendication 10, 
caracterise en ce que dans le cas oH le contenu du 
porte-monnaie est debite, le stockage de la signature 
dans une zone memoire et 1 ' operation de debit se font 
simultanement . 

13. Application du procede selon l'une des 
revendications 1 a 9 a une transaction d' unites de 
valeurs entre un organisme de jeux et une carte a puce. 
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